The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Международная статистика уязвимостей WEB-приложений за 2008 год

20.10.2009 14:19

Международная организация Web Application Security Consortium опубликовала (перевод на русский язык) статистику уязвимостей WEB-приложений за прошедший год. Обзорная статистика содержит данные, полученные в ходе тестирований на проникновение, аудитов безопасности и других работ, проведенных компаниями, входящими в WASC: Blueinfy, Cenzic, dns, encription limited, HP Application Security Center, Positive Technologies, Veracode и WhiteHat Security.

Статистика получена на основе анализа данных 12-ти тысяч Web-приложений, в которых, в общей сложности, было обнаружено более 97 тысяч уязвимостей различной степени риска. Как оказалось, более 13% исследованных сайтов могут быть полностью скомпрометировано автоматически, 49% Web-приложений содержат уязвимости высокой степеней риска (Urgent и Critical), обнаруженные при автоматическом сканировании систем, при детальной ручной и автоматизированной оценке методом "белого ящика" вероятность обнаружения уязвимостей высокой степени риска достигает от 80% до 96%.

Согласно статистике, наиболее распространенными уязвимостями являются: "Межсайтовое выполнение сценариев" (Cross-Site Scripting), различные виды утечки информации (Information Leakage), "Внедрение операторов SQL" (SQL Injection), "Расщепление HTTP-запроса" (HTTP Response Splitting). По сравнению с 2007 годом число сайтов, содержащих SQL Injection, снизилось на 13%, Cross-site Scripting - на 20%, однако число сайтов, содержащих Information Leakage, возросло на 24%, также возросла вероятность автоматической компрометации узлов с 7% до 13%.

Если сравнить данные WASC с российской статистикой за 2008 год, выпущенной компанией Positive Technologies http://www.ptsecurity.ru/news_page.asp?id=47, можно отметить, что ситуация практически не отличается - 83% российских сайтов имеют критичные уязвимости, а одной из наиболее распространенных уязвимостей также является "Межсайтовое выполнение сценариев" (Cross-Site Scripting).

Лидер проекта WASC Web Application Security Statistics Project - Сергей Гордейчик, руководитель отдела консалтинга и аудита компании Positive Technologies, так прокомментировал ситуацию: "Статистика публикуется третий год подряд, и каждый новый выпуск демонстрирует ухудшение с общим состоянием безопасности Web-сайтов. Рост количества уязвимых систем связан с двумя факторами – с улучшением качества автоматизированных средств контроля защищенности и "хакерских" утилит, а также с увеличением доли динамических Web-приложений, которые, как правило, содержат больше проблем с безопасностью".

  1. Главная ссылка к новости (http://www.securitylab.ru/anal...)
  2. OpenNews: 63% web-сайтов содержат опасные уязвимости
  3. OpenNews: Опубликована статистика уязвимостей Web-приложений за 2008 год
  4. OpenNews: Статистика уязвимостей web-приложений (2007 год)
  5. OpenNews: Статистика уязвимостей Web-приложений (2007 год)
Автор новости: PR менеджер
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/23915-web
Ключевые слова: web, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (12) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Блуд (ok), 16:25, 20/10/2009 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Web катится в качестве кода как и весь другой разрабатываемый софт: "надо быстренько сделать, чтобы выглядело, будто работает, а когда время будет, поправлю". Ну а времени нет никогда, то работа, то БОР.
     
  • 1.11, аноним (?), 23:32, 20/10/2009 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    один из модераторов ну просто ярый защитник пхп, все посты киляет...
     
     
  • 2.12, Maxim Chirkov (ok), 23:53, 20/10/2009 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >один из модераторов ну просто ярый защитник пхп, все посты киляет...

    Как не удалить идеально нарушающие все правила сообщения, представляющие смесь бульварной лексики, попытки разжигания флейма и необоснованных утверждений.

    PS. http://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=help#rules

     
     
  • 3.14, аноним (?), 08:45, 21/10/2009 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    имхо не требует аргументации, да и так всем понятно, что пхп очень простой язык, осваивается буквально за день, что порождает толпу кодеров севших писать сайты изучив вчера вечером пхп и не имеющих хоть какого-то достаточного опыта в программировании, проектировании сетевых структур, глубокого понимания работы тех или иных функций и настроек горяче любимого ими пхп, что приводит, как по отдельности, так и в совокупности к брешам в безопасности. ситуацию осложняет еще и кривость рук самих разработчиков пхп, и еще ладно когда их кривые руки и недостаточное тестирование приводят к тому, что какие-то функции начинают работать странным образом, так ведь бывает ломают сайты из-за их ошибок, сам напарывался на такой (в то время совершенно новый и еще не известный) косяк в пхп, благо хоть по баг репорту закрыли недели через две, но что мне сказать владельцу сайта с похеренными данными и бекапом недельной давности, как объяснить, что это не мои кривые ручки как админа, и даже не кривые руки разработчика его сайта, а косяк в неправильно выбранном инструменте разработчика? да ошибки есть везде, но столько, сколько их в пхп... просто ужас.
     
     
  • 4.15, dmsuslov (??), 11:22, 21/10/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >имхо не требует аргументации, да и так всем понятно, что пхп очень
    >простой язык, осваивается буквально за день, что порождает толпу кодеров севших
    >писать сайты изучив вчера вечером пхп и не имеющих хоть какого-то
    >достаточного опыта в программировании, проектировании сетевых структур, глубокого понимания работы тех
    >или иных функций и настроек горяче любимого ими пхп

    Из Вашего утверждения следует, что простой в изучении язык плох именно своей простотой? Т.е. для того, чтобы налить воду в стакан надо обязательно прежде изучить гидродинамику?

     
     
  • 5.16, аноним (?), 12:15, 21/10/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >Из Вашего утверждения следует, что простой в изучении язык плох именно своей простотой?

    да, если он используется в продакшне и при этом не предусматривает защиту самого себя от быдло-кодеров, какой смысл давать пистолет дураку, если заранее известно что он либо себя покалечит либо кого-нибудь другого?

    >Т.е. для того, чтобы налить воду в стакан надо обязательно прежде изучить гидродинамику?

    плохой пример, лучше так: прежде чем сесть за руль автомобиля нужно изучить пдд, общий принцип работы автомобиля и покататься на полигоне с десяток часов.


     
     
  • 6.17, dmsuslov (??), 12:26, 21/10/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >>Из Вашего утверждения следует, что простой в изучении язык плох именно своей простотой?
    >
    >да, если он используется в продакшне и при этом не предусматривает защиту
    >самого себя от быдло-кодеров, какой смысл давать пистолет дураку, если заранее
    >известно что он либо себя покалечит либо кого-нибудь другого?
    >

    Получается, язык-то сам по себе неплох. Его надо бы усложнить - добавить в синтаксис что-нибудь от Perl'a , например, поубивать форумы с обсуждениями на тему программирования на PHP и т.д. Другими словами: программист не может начать что-то писать не проштудировав как следует теорию. У каждого программиста должен быть нимб над головой. Если я правильно понял.
    Но что же займет образовавшийся вакуум? Как насчет "природа не терпит пустоты"?

    >>Т.е. для того, чтобы налить воду в стакан надо обязательно прежде изучить гидродинамику?
    >
    >плохой пример, лучше так: прежде чем сесть за руль автомобиля нужно изучить
    >пдд, общий принцип работы автомобиля и покататься на полигоне с десяток
    >часов.

    Если человек садится за руль не зная ПДД, то он может покалечить себя/других. А кого калечит плохой программист? (не обязательно PHP-программист)

     
     
  • 7.18, аноним (?), 13:19, 21/10/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >Другими словами: программист не
    >может начать что-то писать не проштудировав как следует теорию. У каждого
    >программиста должен быть нимб над головой. Если я правильно понял.
    >Но что же займет образовавшийся вакуум? Как насчет "природа не терпит пустоты"?

    да, либо ты знаешь, умеешь и несешь ответственность за свой код, либо идешь в подмастерья, твой код будут проверять и за твой код кто-то там будет нести ответственность.


    >Если человек садится за руль не зная ПДД, то он может покалечить
    >себя/других. А кого калечит плохой программист? (не обязательно PHP-программист)

    есть такое понятие как: деньги. плохой программист может очень сильно кого-то подставить. цепочку событий из-за кривого когда можете сами развернуть, пофантазируйте. я бы даже сказал что отдельно взятый дурак за рулем иной раз менее страшен чем халатный программист.  
    помните историю LXLabs и vaserv.com?

     
     
  • 8.19, dmsuslov (??), 20:11, 21/10/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    Моя мысль такова PHP действительно легкий в изучении язык Я считаю это его дос... текст свёрнут, показать
     
     
  • 9.21, аноним (?), 22:04, 21/10/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    о, я вижу что вы есть пхпшник да, при текущей реализации самого языка - недоста... текст свёрнут, показать
     
  • 9.22, аноним (?), 22:12, 21/10/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    и да, качественные программы можно писать на чем угодно, и замете я не утверждал... текст свёрнут, показать
     
     
  • 10.23, Аноним (-), 14:31, 24/10/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    Какую же околесицу вы все тут несете Проблема безопасности в WEB на 99 вытекае... текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру